🥇כיצד לפתור בעיות IPsec VPN מקומי. חלק 1

המצב

יום חופש. אני שותה קפה. התלמיד הקים חיבור VPN בין שתי נקודות ונעלם. אני בודק: באמת יש מנהרה, אבל אין תנועה במנהרה. התלמיד אינו עונה לשיחות.

אני שם את הקומקום וצולל לתוך שער S-Terra פתרון בעיות. אני חולק את הניסיון והמתודולוגיה שלי.

נתונים גולמיים

שני האתרים המופרדים גיאוגרפית מחוברים במנהרת GRE. GRE צריך להיות מוצפן:

אני בודק את הפונקציונליות של מנהרת GRE. לשם כך, אני מריץ פינג ממכשיר R1 לממשק GRE של מכשיר R2. זוהי תעבורת היעד להצפנה. אין תשובה:

root@R1:~# ping 1.1.1.2 -c 4
PING 1.1.1.2 (1.1.1.2) 56(84) bytes of data.

--- 1.1.1.2 ping statistics ---
4 packets transmitted, 0 received, 100% packet loss, time 3057ms

אני מסתכל על היומנים של Gate1 ו-gate2. היומן מדווח בשמחה שמנהרת IPsec הושקה בהצלחה, ללא בעיות:

root@Gate1:~# cat /var/log/cspvpngate.log
Aug  5 16:14:23 localhost  vpnsvc: 00100119 <4:1> IPSec connection 5 established, traffic selector 172.17.0.1->172.16.0.1, proto 47, peer 10.10.10.251, id "10.10.10.251", Filter 
IPsec:Protect:CMAP:1:LIST, IPsecAction IPsecAction:CMAP:1, IKERule IKERule:CMAP:1

בסטטיסטיקה של מנהרת IPsec על Gate1 אני רואה שבאמת יש מנהרה, אבל מונה ה-Rсvd מאופס לאפס:

root@Gate1:~# sa_mgr show
ISAKMP sessions: 0 initiated, 0 responded

ISAKMP connections:
Num Conn-id (Local Addr,Port)-(Remote Addr,Port) State Sent Rcvd
1 3 (10.10.10.251,500)-(10.10.10.252,500) active 1070 1014

IPsec connections:
Num Conn-id (Local Addr,Port)-(Remote Addr,Port) Protocol Action Type Sent Rcvd
1 3 (172.16.0.1,*)-(172.17.0.1,*) 47 ESP tunn 480 0

אני מטריד את S-Terra כך: אני מחפש היכן אבדו מנות היעד בנתיב מ-R1 ל-R2. תוך כדי (ספוילר) אמצא טעות.

פתרון תקלות

שלב 1. מה שער1 מקבל מ-R1

אני משתמש ב-packet sniffer המובנה - tcpdump. אני משיק את הסניפר בממשק הפנימי (Gi0/1 בסימון דמוי סיסקו או eth1 בתווית של Debian OS):

root@Gate1:~# tcpdump -i eth1

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth1, link-type EN10MB (Ethernet), capture size 262144 bytes
14:53:38.879525 IP 172.16.0.1 > 172.17.0.1: GREv0, key=0x1, length 92: IP 1.1.1.1 > 1.1.1.2: ICMP echo request, id 2083, seq 1, length 64
14:53:39.896869 IP 172.16.0.1 > 172.17.0.1: GREv0, key=0x1, length 92: IP 1.1.1.1 > 1.1.1.2: ICMP echo request, id 2083, seq 2, length 64
14:53:40.921121 IP 172.16.0.1 > 172.17.0.1: GREv0, key=0x1, length 92: IP 1.1.1.1 > 1.1.1.2: ICMP echo request, id 2083, seq 3, length 64
14:53:41.944958 IP 172.16.0.1 > 172.17.0.1: GREv0, key=0x1, length 92: IP 1.1.1.1 > 1.1.1.2: ICMP echo request, id 2083, seq 4, length 64

אני רואה ש-Gate1 מקבל מנות GRE מ-R1. אני ממשיך הלאה.

שלב 2. מה Gate1 עושה עם מנות GRE

באמצעות כלי השירות klogview אני יכול לראות מה קורה עם מנות GRE בתוך מנהל ההתקן של S-Terra VPN:

root@Gate1:~# klogview -f 0xffffffff

filtration result for out packet 172.16.0.1->172.17.0.1, proto 47, len 112, if eth0: chain 4 "IPsecPolicy:CMAP", filter 8, event id IPsec:Protect:CMAP:1:LIST, status PASS
encapsulating with SA 31: 172.16.0.1->172.17.0.1, proto 47, len 112, if eth0
passed out packet 10.10.10.251->10.10.10.252, proto 50, len 160, if eth0: encapsulated

אני רואה שתעבורת היעד GRE (פרוטו 47) 172.16.0.1 -> 172.17.0.1 נכנסה תחת כלל ההצפנה LIST במפת ההצפנה CMAP והייתה מובלעת. לאחר מכן, החבילה נותבה (התעלפה). אין תעבורת תגובה בפלט klogview.

אני בודק את רשימות הגישה במכשיר Gate1. אני רואה רשימת גישה אחת LIST, המגדירה את תעבורת היעד להצפנה, מה שאומר שכללי חומת האש אינם מוגדרים:

Gate1#show access-lists
Extended IP access list LIST
    10 permit gre host 172.16.0.1 host 172.17.0.1

מסקנה: הבעיה היא לא במכשיר Gate1.

עוד על klogview

מנהל ה-VPN מטפל בכל תעבורת הרשת, לא רק בתעבורה שצריך להצפין. אלה ההודעות הנראות ב-klogview אם מנהל ה-VPN עיבד את תעבורת הרשת והעביר אותה ללא מוצפן:

root@R1:~# ping 172.17.0.1 -c 4

root@Gate1:~# klogview -f 0xffffffff

filtration result for out packet 172.16.0.1->172.17.0.1, proto 1, len 84, if eth0: chain 4 "IPsecPolicy:CMAP": no match
passed out packet 172.16.0.1->172.17.0.1, proto 1, len 84, if eth0: filtered

אני רואה שתעבורת ICMP (פרוטו 1) 172.16.0.1->172.17.0.1 לא נכללה (אין התאמה) בכללי ההצפנה של כרטיס ההצפנה CMAP. החבילה נותבה (התעלפה) בטקסט ברור.

שלב 3. מה Gate2 מקבל משער1

אני מפעיל את הסניפר בממשק WAN (eth0) Gate2:

root@Gate2:~# tcpdump -i eth0
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes
16:05:45.104195 IP 10.10.10.251 > 10.10.10.252: ESP(spi=0x30088112,seq=0x1), length 140
16:05:46.093918 IP 10.10.10.251 > 10.10.10.252: ESP(spi=0x30088112,seq=0x2), length 140
16:05:47.117078 IP 10.10.10.251 > 10.10.10.252: ESP(spi=0x30088112,seq=0x3), length 140
16:05:48.141785 IP 10.10.10.251 > 10.10.10.252: ESP(spi=0x30088112,seq=0x4), length 140

אני רואה ש-gate2 מקבל מנות ESP מ-gate1.

שלב 4. מה Gate2 עושה עם חבילות ESP

אני מפעיל את כלי השירות klogview ב- Gate2:

root@Gate2:~# klogview -f 0xffffffff
filtration result for in packet 10.10.10.251->10.10.10.252, proto 50, len 160, if eth0: chain 17 "FilterChain:L3VPN", filter 21, status DROP
dropped in packet 10.10.10.251->10.10.10.252, proto 50, len 160, if eth0: firewall

אני רואה שחבילות ESP (פרוטו 50) נשמטו (DROP) על ידי כלל חומת האש (L3VPN). אני מוודא של- Gi0/0 אכן מצורפת רשימת גישה ל-L3VPN:

Gate2#show ip interface gi0/0
GigabitEthernet0/0 is up, line protocol is up
  Internet address is 10.10.10.252/24
  MTU is 1500 bytes
  Outgoing access list is not set
  Inbound  access list is L3VPN

גיליתי את הבעיה.

שלב 5. מה רע ברשימת הגישה

אני מסתכל מהי רשימת הגישה ל-L3VPN:

Gate2#show access-list L3VPN
Extended IP access list L3VPN
    10 permit udp host 10.10.10.251 any eq isakmp
    20 permit udp host 10.10.10.251 any eq non500-isakmp
    30 permit icmp host 10.10.10.251 any

אני רואה שמותר מנות ISAKMP, אז נוצרת מנהרת IPsec. אבל אין כלל הפעלה עבור ESP. ככל הנראה, התלמיד בלבל בין icmp לבין esp.

עריכת רשימת הגישה:

Gate2(config)#
ip access-list extended L3VPN
no 30
30 permit esp host 10.10.10.251 any

שלב 6. בדיקת פונקציונליות

קודם כל, אני מוודא שרשימת הגישה ל-L3VPN נכונה:

Gate2#show access-list L3VPN
Extended IP access list L3VPN
    10 permit udp host 10.10.10.251 any eq isakmp
    20 permit udp host 10.10.10.251 any eq non500-isakmp
    30 permit esp host 10.10.10.251 any

כעת אני משיק תנועת יעד ממכשיר R1:

root@R1:~# ping 1.1.1.2 -c 4
PING 1.1.1.2 (1.1.1.2) 56(84) bytes of data.
64 bytes from 1.1.1.2: icmp_seq=1 ttl=64 time=35.3 ms
64 bytes from 1.1.1.2: icmp_seq=2 ttl=64 time=3.01 ms
64 bytes from 1.1.1.2: icmp_seq=3 ttl=64 time=2.65 ms
64 bytes from 1.1.1.2: icmp_seq=4 ttl=64 time=2.87 ms

--- 1.1.1.2 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3006ms
rtt min/avg/max/mdev = 2.650/10.970/35.338/14.069 ms

ניצחון. מנהרת GRE הוקמה. מונה התעבורה הנכנסת בסטטיסטיקות IPsec אינו אפס:

root@Gate1:~# sa_mgr show
ISAKMP sessions: 0 initiated, 0 responded

ISAKMP connections:
Num Conn-id (Local Addr,Port)-(Remote Addr,Port) State Sent Rcvd
1 3 (10.10.10.251,500)-(10.10.10.252,500) active 1474 1350

IPsec connections:
Num Conn-id (Local Addr,Port)-(Remote Addr,Port) Protocol Action Type Sent Rcvd
1 4 (172.16.0.1,*)-(172.17.0.1,*) 47 ESP tunn 1920 480

בשער Gate2, בפלט klogview, הופיעו הודעות שתעבורת היעד 172.16.0.1->172.17.0.1 פוענחה בהצלחה (PASS) על ידי כלל LIST במפת ההצפנה של CMAP:

root@Gate2:~# klogview -f 0xffffffff
filtration result for in packet 172.16.0.1->172.17.0.1, proto 47, len 112, if eth0: chain 18 "IPsecPolicy:CMAP", filter 25, event id IPsec:Protect:CMAP:1:LIST, status PASS
passed in packet 172.16.0.1->172.17.0.1, proto 47, len 112, if eth0: decapsulated

תוצאות של

תלמיד הרס לו את יום החופש.
היזהר עם חוקי ME.

מהנדס אנונימי
t.me/anonymous_engineer

מקור: www.habr.com

כיצד לפתור בעיות IPsec VPN מקומי. חלק 1

המצב

נתונים גולמיים

פתרון תקלות

הוספת תגובה ביטול תגובה